Csak annyit tennék hozzá, hogy a secret kiszivároghat a szerver oldalról is ami sokkal csábítóbb célpont mint egy random kliens. A szerver oldalon is lehet titkosítani a db-t, de az azonosítás során a folyamatnak hozzá kell férnie a clear text verzióhoz is, ellentétben a szimpla jelszavak egyirányú sózott hashével. Ha szerencséd van akkor a jelszavaddal (vagyis az abból képzett egyedi kulccsal) van titkosítva, nem egy közös kulccsal. Már ha egyáltalán titkosítva van.
Üzemeltet itt valaki TOTP-t szerver oldalon? Hogy oldják ezt meg általában a szoftverek? Mindegyik egyedi kulcsot használ felhasználónként és én feleslegesen fosok ettől vagy csak clear text behányják egy db-be a secretet?